Современные транспортные средства, такие как самолеты, поезда, корабли и автомобили, оснащены множеством электронных систем, которые контролируют все аспекты работы — от управления двигателем до навигации и связи. Уязвимости в этих системах могут привести к серьезным последствиям, включая угрозы безопасности пассажиров и сбои в работе транспорта.
В 2015 году исследователи продемонстрировали возможность взлома автомобиля через мультимедийную панель: они удаленно получили доступ к управляющим системам транспортного средства, после чего включили стеклоочистители, заглушили двигатель и взяли под контроль рулевое колесо. В случае реального взлома это могло бы привести к автомобильной аварии. Исследователи заявили, что данным методом взлома возможно получить доступ к сотням тысяч автомобилей данной марки.
В поездах и метро успешная атака на системы может привести к нарушениям графика движения, воспрепятствовать проведению ремонта и другим критическим последствиям. Так, в 2022 году группа специалистов ИБ обнаружила недекларированные возможности в системах управления поездами польского производителя, из-за которых поезда переставали функционировать спустя определенное время.
Чтобы обеспечить ИБ транспортных систем, нужен комплексный подход. Необходимо интегрировать меры ИБ на всех уровнях: от разработки и тестирования программного обеспечения до мониторинга работы систем в режиме реального времени.
Важную роль играют:
· Сегментация сетей, чтобы ограничить доступ злоумышленников к критически важным системам.
· Выпуск и установка регулярных обновлений программного обеспечения.
· Аудит безопасности.
Обучение сотрудников, задействованных в работе с транспортными системами, также является важным аспектом безопасности. Необходимо повышать осведомленность персонала о рисках, связанных с использованием цифровых технологий, и порядке действий в случае их реализации.
#ИБ
#ПолезноЗнать
В 2015 году исследователи продемонстрировали возможность взлома автомобиля через мультимедийную панель: они удаленно получили доступ к управляющим системам транспортного средства, после чего включили стеклоочистители, заглушили двигатель и взяли под контроль рулевое колесо. В случае реального взлома это могло бы привести к автомобильной аварии. Исследователи заявили, что данным методом взлома возможно получить доступ к сотням тысяч автомобилей данной марки.
В поездах и метро успешная атака на системы может привести к нарушениям графика движения, воспрепятствовать проведению ремонта и другим критическим последствиям. Так, в 2022 году группа специалистов ИБ обнаружила недекларированные возможности в системах управления поездами польского производителя, из-за которых поезда переставали функционировать спустя определенное время.
Чтобы обеспечить ИБ транспортных систем, нужен комплексный подход. Необходимо интегрировать меры ИБ на всех уровнях: от разработки и тестирования программного обеспечения до мониторинга работы систем в режиме реального времени.
Важную роль играют:
· Сегментация сетей, чтобы ограничить доступ злоумышленников к критически важным системам.
· Выпуск и установка регулярных обновлений программного обеспечения.
· Аудит безопасности.
Обучение сотрудников, задействованных в работе с транспортными системами, также является важным аспектом безопасности. Необходимо повышать осведомленность персонала о рисках, связанных с использованием цифровых технологий, и порядке действий в случае их реализации.
#ИБ
#ПолезноЗнать
Многофакторная аутентификация – метод контроля доступа, который требует от пользователя подтверждения личности через несколько факторов, таких как:
1️⃣ Фактор знания – что пользователь знает: пароль, PIN-код, ответ на контрольный вопрос.
2️⃣ Фактор владения – что принадлежит пользователю: физический токен или устройство, на которое приходит одноразовый пароль в SMS, e-mail или push-уведомлении.
3️⃣ Фактор свойства – сам пользователь, например, его биометрические данные.
Помимо фактора знания в целях повышения безопасности доступа следует применять дополнительные факторы, проверяемые при аутентификации. Для этого можно использовать следующие популярные методы:
🔸 Получение кодов через SMS, звонок или e-mail (фактор владения): код направляется на номер телефона или на e-mail. Наиболее распространенный и уязвимый метод, так как смартфон может быть подвержен атакам типа SIM jacking, а пароль от электронной почты получен через атаку типа brute-force.
🔸 Приложения-аутентификаторы (фактор владения): приложение, которое может работать без подключения к сети, генерирует одноразовые коды каждые 30 секунд. Главные уязвимости – фишинговые сайты с имитацией механизма проверки 2FA, а также вирусы-стиллеры, способные выкрасть cookie-файлы, используемые для входа в сервис.
🔸 Биометрическая аутентификация (фактор свойства): использование отпечатков пальцев, распознавания лица и голоса. Предоставляя удобство аутентификации, данный метод также обладает недостатками: зависимость от точности работы оборудования, невозможность смены биометрических данных. К уязвимостям метода относится подделка биометрических данных, например, через дипфейки.
🔸 Аппаратные устройства (фактор владения): физические ключи, подключаемые к устройству. Аппаратные аутентификаторы предоставляют высокий уровень безопасности, однако требуют затраты на приобретение. Наибольший риск представляет утеря устройства.
#ИБ
#ПолезноЗнать
Помимо фактора знания в целях повышения безопасности доступа следует применять дополнительные факторы, проверяемые при аутентификации. Для этого можно использовать следующие популярные методы:
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Принцип наименьших привилегий — это принцип, при котором субъекту информационной среды (пользователю, процессу или программе) предоставляются минимально необходимые права и доступы к ресурсам информационной системы, которые ему необходимы для работы и выполнения конкретных задач.
Принцип наименьших привилегий используют с целями:
🔸 Минимизации рисков: снижается вероятность человеческой ошибки или умышленной кражи конфиденциальных данных;
🔸 Минимизации последствий атак и ограничения масштаба инцидентов: в случае успешной атаки злоумышленник получит доступ к меньшему числу систем (только к тем, к которым имела доступ взломанная учетная запись);
🔸 Сегрегации обязанностей: снижение концентрации прав доступа у одного пользователя (разграничение прав доступа среди разных сотрудников, которые отвечают за разные процессы).
Для реализации принципа наименьших привилегий рекомендуется проводить в том числе следующие мероприятия:
🔸 Создавать учетные записи с минимальным набором доступов.
Можно использовать два подхода: создание учетных записей с нулевым набором доступов или реализация ролевого модели доступа.
В первом подходе пользователям предоставляется доступ к необходимым ресурсам по запросу для решения рабочих задач, а не по умолчанию.
Во втором подходе пользователям назначается роль (например, специалист отдела кадров), для которой определяются доступы исходя из рабочих задач.
🔸 Предоставлять временные привилегии.
При производственной необходимости пользователю может потребовать доступ к дополнительным данным, такой доступ лучше предоставлять с временными ограничениями на момент выполнения служебной задачи.
🔸 Проводить аудит пользовательских ролей.
Следует выполнять регулярный мониторинг учетных записей пользователей на предмет их соответствия ролям. Аудит поможет выявлять избыточные привилегии, а также проверять эффективность процессов управления привилегиями.
Важно отметить, что принцип предполагает удобство назначения прав пользователям, в противном случае функционирование бизнес-процессов компании при таком подходе может замедлиться.
#ИБ
Принцип наименьших привилегий используют с целями:
Для реализации принципа наименьших привилегий рекомендуется проводить в том числе следующие мероприятия:
Можно использовать два подхода: создание учетных записей с нулевым набором доступов или реализация ролевого модели доступа.
В первом подходе пользователям предоставляется доступ к необходимым ресурсам по запросу для решения рабочих задач, а не по умолчанию.
Во втором подходе пользователям назначается роль (например, специалист отдела кадров), для которой определяются доступы исходя из рабочих задач.
При производственной необходимости пользователю может потребовать доступ к дополнительным данным, такой доступ лучше предоставлять с временными ограничениями на момент выполнения служебной задачи.
Следует выполнять регулярный мониторинг учетных записей пользователей на предмет их соответствия ролям. Аудит поможет выявлять избыточные привилегии, а также проверять эффективность процессов управления привилегиями.
Важно отметить, что принцип предполагает удобство назначения прав пользователям, в противном случае функционирование бизнес-процессов компании при таком подходе может замедлиться.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Багбаунти (Bug Bounty) – это программы, в рамках которых сторонние специалисты (багхантеры, bughunters) занимаются поиском и обнаружением уязвимостей за вознаграждение.
Некоторые компании, такие как Яндекс, запускают багбаунти-программы сами, на своих ресурсах, но большинство участников – в их числе ведущие игроки рынка: VK, ТБанк, Сбербанк, Ростелеком и другие – используют для этого багбаунти-площадки.
На данный момент российский рынок включает 3 основные крупнейшие площадки, каждая со своими особенностями и подходами к работе с уязвимостями:
🔸 Bugbounty.ru – старейшая платформа, работающая с 2021 г. Ее отличительной чертой является стабильность и простой интерфейс для взаимодействия как с компаниями, так и с багхантеры. За последние несколько лет было запущено множество программ и выявлено свыше нескольких сотен уязвимостей, в число которых вошли и сверхкритичные уязвимости.
🔸 Standoff Bug Bounty – стартовала в мае 2022 г. и привлекла внимание крупных компаний благодаря организации специальных мероприятий для багхантеров. На площадке можно получить отчеты от иностранных багхантеров. Для проверенных специалистов с хорошей репутацией и большим опытом предоставляется возможность поучаствовать в приватных программах с ограниченным набором участников.
🔸 BI.ZONE Bug Bounty – с августа 2022 г. предоставляет возможность работы с множеством программ. Площадка известна своим прогрессивным рейтингом багхантеров, который мотивирует участников достигать более впечатляющих результатов. Также на площадке есть возможность раскрытия отчетов, что делает процесс более прозрачным для всех сторон.
Каждая из площадок охватывает свою аудиторию и имеет свои сильные стороны, поэтому компании нередко размещают программы на нескольких платформах одновременно для максимального охвата багхантеров.
За последний год количество программ на площадках выросло почти на 60%, а максимальные размеры вознаграждений увеличились в разы.
#ИБ
#ПолезноЗнать
Некоторые компании, такие как Яндекс, запускают багбаунти-программы сами, на своих ресурсах, но большинство участников – в их числе ведущие игроки рынка: VK, ТБанк, Сбербанк, Ростелеком и другие – используют для этого багбаунти-площадки.
На данный момент российский рынок включает 3 основные крупнейшие площадки, каждая со своими особенностями и подходами к работе с уязвимостями:
Каждая из площадок охватывает свою аудиторию и имеет свои сильные стороны, поэтому компании нередко размещают программы на нескольких платформах одновременно для максимального охвата багхантеров.
За последний год количество программ на площадках выросло почти на 60%, а максимальные размеры вознаграждений увеличились в разы.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Атака на цепочку поставок (Supply Chain Attack) – это атака, при которой злоумышленники пытаются получить доступ к системам или к данным компании через уязвимости в процессах и системах подрядчиков, предоставляющих товары или услуги.
Злоумышленники могут использовать различные методы для внедрения вредоносного кода или получения доступа к системам. Например, они могут модифицировать ПО поставщика перед его передачей компании-получателю. Социальная инженерия также играет важную роль: манипуляция сотрудниками поставщика может привести к утечке конфиденциальной информации.
Один из самых известных случаев такой атаки — инцидент с SolarWinds. В данном случае злоумышленники внедрили вредоносный код в один из DLL-файлов, который получили клиенты SolarWinds в рамках обновления ПО. После запуска зараженного ПО на устройстве пользователя злоумышленники получали возможность управлять ОС, в том числе выгружать данные с устройства и отключать системные службы.
Для эффективной защиты от атак на цепочку поставок компаниям следует внедрить процесс оценки третьих сторон, который позволит своевременно выявлять потенциальные риски, связанные с взаимодействием с поставщиками.
Процесс проверки может выражаться в анкетировании поставщиков для проведения оценки рисков, в запросе свидетельств независимых проверок ИБ (сертификаций или аттестаций), а также в проведении аудитов ИБ у поставщиков, что должно быть заранее предусмотрено в договоре.
#ИБ
Злоумышленники могут использовать различные методы для внедрения вредоносного кода или получения доступа к системам. Например, они могут модифицировать ПО поставщика перед его передачей компании-получателю. Социальная инженерия также играет важную роль: манипуляция сотрудниками поставщика может привести к утечке конфиденциальной информации.
Один из самых известных случаев такой атаки — инцидент с SolarWinds. В данном случае злоумышленники внедрили вредоносный код в один из DLL-файлов, который получили клиенты SolarWinds в рамках обновления ПО. После запуска зараженного ПО на устройстве пользователя злоумышленники получали возможность управлять ОС, в том числе выгружать данные с устройства и отключать системные службы.
Для эффективной защиты от атак на цепочку поставок компаниям следует внедрить процесс оценки третьих сторон, который позволит своевременно выявлять потенциальные риски, связанные с взаимодействием с поставщиками.
Процесс проверки может выражаться в анкетировании поставщиков для проведения оценки рисков, в запросе свидетельств независимых проверок ИБ (сертификаций или аттестаций), а также в проведении аудитов ИБ у поставщиков, что должно быть заранее предусмотрено в договоре.
#ИБ
Вступило в силу 1 сентября 2024 г.:
Постановление Правительства РФ от 14.11.2023 № 1912 о порядке перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ
▫ для кого: субъекты КИИ, имеющие значимые объекты КИИ
▫ что делать: с 1 сентября 2024 г. осуществлять закупку и использовать только отечественные доверенных ПАК. Исключения:
🔸 ПАК, приобретённые до 01 сентября 2024 г.;
🔸 ПАК, не имеющие аналогов в РФ
Приказ Минэнерго России от 26.12.2023 № 1215 об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики
▫ для кого: организации, функционирующие в сфере электроэнергетики и имеющие значимые объекты КИИ
▫ что делать: на значимых объектах КИИ, которые управляются дистанционно или из диспетчерских центров, необходимо выполнить ряд дополнительных мероприятий к приказу ФСТЭК России от 25.12.2017 г. № 239
Постановление Правительства РФ от 01.04.2024 № 408 о видах биометрических персональных данных (ПДн)
▫ для кого: операторы ПДн, обрабатывающих биометрические ПДн
▫ что делать: проверить, что идентификация и аутентификация с использованием биометрических ПДн осуществляется на основе следующих данных:
🔸 изображение лица человека, полученное с помощью фото-видеоустройств;
🔸 запись голоса человека, полученная с помощью звукозаписывающих устройств.
Вступило в силу 10 сентября 2024 г.:
Приказ Минцифры России от 31.07.2024 № 677 о требованиях по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»
▫ для кого:
🔸 провайдеры хостингов, предоставляющие вычислительные мощности операторам ГИС и МИС;
🔸 операторы ГИС, МИС, ИС государственных и муниципальных унитарных учреждений.
▫ что делать: реализовывать требования по защите информации, в том числе с использованием шифровальных (криптографических) средств, установленными приказами ФСБ России
#ИБ
#ДеЮре
Постановление Правительства РФ от 14.11.2023 № 1912 о порядке перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ
Приказ Минэнерго России от 26.12.2023 № 1215 об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики
Постановление Правительства РФ от 01.04.2024 № 408 о видах биометрических персональных данных (ПДн)
Вступило в силу 10 сентября 2024 г.:
Приказ Минцифры России от 31.07.2024 № 677 о требованиях по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»
#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Вступило в силу 27 сентября 2024 г.:
Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
▫ для кого: субъекты КИИ
▫ что делать:
🔸 субъектам КИИ, которые провели категорирование объектов КИИ: принять к сведению исключение из процедуры категорирования требования по формированию перечня объектов КИИ, подлежащих категорированию.
🔸 субъектам КИИ, которые не провели категорирование объектов КИИ: принять к сведению риск привлечения к административной ответственности за непредоставление форм сведений о результатах категорирования
Вступило в силу 1 октября 2024 г.:
Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
▫ для кого: участники платежной системы Банка России
▫ что делать:
🔸 предусмотреть дополнительные контрольные мероприятия в целях мониторинга уровня риска ИБ в платежной системе;
🔸 идентифицировать значимые риски не реже одного раза в год;
🔸 ознакомиться с расширением перечня субъектов организационной структуры, обязанных обеспечивать бесперебойность функционирования платежной системы;
🔸 ознакомиться с критериями отнесения риск-событий, реализовавшихся при оказании услуг платежной инфраструктуры, к риск-событиям приостановления оказания таких услуг
#ИБ
#ДеЮре
Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
Вступило в силу 1 октября 2024 г.:
Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Время, необходимое для взлома пароля, зависит от его сложности и методов, применяемых злоумышленниками. Рассмотрим несколько примеров перебора по словарю:
🔸 Простой пароль (например, «P@ssw0rd»): такой пароль выглядит сложным, но будет подобран одним из первых, так как является словарным – то есть включенным в базы паролей, полученных из разных источников.
Также примером простого пароля может быть !QAZ2wsx – это набор символов первых двух столбцов клавиатуры, такой словарный пароль подберут быстро.
🔸 Пароль средней сложности (например, «Kept081096»): взлом может потребовать от нескольких минут до часов, так как маловероятно что данный пароль будет в стандартных словарях, но злоумышленник может его подобрать, генерируя составные словари.
🔸 Сложный пароль (например, «1Fo1!OW_2k3PT_3c7b3r_4c8@99e1»): в данном варианте использована длинная фраза «Follow Kept Cyber Channel», в которую внесены изменения с помощью цифр и специальных символов.
Взлом такого пароля может потребовать от несколько лет до десятилетий.
Как правило, для компрометации сложных паролей злоумышленники используют, например, методы социальной инженерии и утёкшие базы данных.
Ключевые принципы создания сложного пароля:
🔸 Наполнение
Для максимальной безопасности пароля необходимо использовать случайные символы, сочетающих в себе буквы, цифры и специальные знаки.
🔸 Длина
Принцип подразумевает создание паролей от 12 символов, так можно заметно снизить вероятность перебора пароля по словарю.
🔸 Запоминаемость
Пароль может быть сколь угодно сложным, но если его не может запомнить пользователь, он бесполезен.
Запомнить пароль можно используя, например, кодовые фразы.
Существует ПО, которое облегчает процесс создания паролей – менеджеры паролей. Такой инструмент позволяет создавать случайные, сложные пароли, соответствующие заданным критериям безопасности, а также управлять паролями, сохраняя их в зашифрованном виде.
Подробнее о таком инструменте мы поговорим в следующий раз.
#ИБ
#ПолезноЗнать
Также примером простого пароля может быть !QAZ2wsx – это набор символов первых двух столбцов клавиатуры, такой словарный пароль подберут быстро.
Взлом такого пароля может потребовать от несколько лет до десятилетий.
Как правило, для компрометации сложных паролей злоумышленники используют, например, методы социальной инженерии и утёкшие базы данных.
Ключевые принципы создания сложного пароля:
Для максимальной безопасности пароля необходимо использовать случайные символы, сочетающих в себе буквы, цифры и специальные знаки.
Принцип подразумевает создание паролей от 12 символов, так можно заметно снизить вероятность перебора пароля по словарю.
Пароль может быть сколь угодно сложным, но если его не может запомнить пользователь, он бесполезен.
Запомнить пароль можно используя, например, кодовые фразы.
Существует ПО, которое облегчает процесс создания паролей – менеджеры паролей. Такой инструмент позволяет создавать случайные, сложные пароли, соответствующие заданным критериям безопасности, а также управлять паролями, сохраняя их в зашифрованном виде.
Подробнее о таком инструменте мы поговорим в следующий раз.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Для чего можно использовать менеджер паролей?
Ответ:
Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.
К преимуществам использования такого сервиса относятся:
🔸 Защита паролей: хранение всех паролей пользователя в зашифрованной базе данных, которая защищена одним главным паролем (мастер-паролем).
🔸 Защита систем: при компрометации учётных записей или увольнении работника возможна оперативная смена паролей во всех системах компании.
🔸 Удобство: генерация уникальных и надежных паролей для каждого аккаунта и отсутствие необходимости запоминания паролей.
🔸 Ускорение процесса авторизации: автоматическое заполнение соответствующих форм паролями и логинами для входа в систему.
🔸 Синхронизация: получение доступа к паролям на разных устройствах пользователя через сервис.
🔸 Безопасный обмен: передача паролей между пользователями через сервис.
🔸 Аудит безопасности: своевременное уведомление о слабых или украденных паролях.
Сценариями использования менеджера паролей компанией могут быть:
🔸 Контроль соблюдения работниками парольной политики.
🔸 Проведение аудитов использования паролей с возможностью выявлять подозрительные учетные записи.
🔸 Организация безопасного обмена паролями доступа к папкам или ПО между работниками, который может потребоваться в рамках проекта.
🔸 Автоматизация предоставления паролей для новых работников и сброса паролей для увольняющихся.
Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:
🔸 BearPass
🔸 Bitwarden
🔸 CommonKey
🔸 Passbolt
🔸 Passwork
🔸 Zoho Vault
#ИБ
#ОтвечаетKept
Для чего можно использовать менеджер паролей?
Ответ:
Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.
К преимуществам использования такого сервиса относятся:
Сценариями использования менеджера паролей компанией могут быть:
Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:
#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
VPN (Виртуальная Частная Сеть) это технология, целью которой является установление зашифрованного безопасного соединения между устройством пользователя и сервером или между двумя серверами/маршрутизаторами.
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
Наиболее частыми сценариями использования VPN являются:
🔸 удаленный доступ сотрудника к корпоративной сети;
🔸 создание защищенного канала между разными сегментами сети;
🔸 изменение местоположения.
К основным преимуществам технологии можно отнести:
🔸 шифрование передаваемых данных;
🔸 сохранение анонимности в Интернете;
🔸 доступ к контенту по всему миру.
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
🔸 Сложность масштабирования – внедрение VPN для большого количества пользователей и устройств требует мощной инфраструктуры и сетевых ресурсов.
🔸 Несовместимость с другими системами – VPN не всегда легко интегрируются в существующую корпоративную инфраструктуру, особенно в условиях использования облачных сервисов или гибридных решений.
🔸 Снижение скорости соединения – при передаче данных через зашифрованные каналы их путь увеличивается, из-за чего скорость передачи может существенно снизиться.
#ИБ
#ПолезноЗнать
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
Наиболее частыми сценариями использования VPN являются:
К основным преимуществам технологии можно отнести:
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
▫️ Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.
▫️ Минимизация рисков:
🔸 в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.
🔸 в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.
Существует два основных типа «соли»:
▫️ Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.
▫️ Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Принцип работы «соли»:
При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.
При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.
Основные задачи, которые помогает решить «соль»:
Существует два основных типа «соли»:
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
▫️ Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
▫️ Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
▫️ Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
▫️ Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
▫️ Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#ОтвечаетKept
Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?
Ответ:
31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.
Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.
#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
NIST Cybersecurity Framework (CSF) 2.0 – фреймворк по информационной безопасности (ИБ) от Национального института стандартов и технологий США (NIST). Версия 2.0 была опубликована в феврале 2024 года. Ранее мы рассказывали о фреймворках по ИБ.
CSF 2.0 представляет собой описание целевого состояния ИБ в организации и может быть использован компаниями любых размеров и направлений деятельности ввиду гибкости внедрения представленных рекомендаций.
Фреймворк состоит из 6 ключевых разделов:
1️⃣ Управление (Govern) – комплексный взгляд на жизненный цикл управления рисками ИБ.
2️⃣ Идентификация (Identify) – определение ресурсов, которые необходимо защищать.
3️⃣ Защита (Protect) – разработка и внедрение мер защиты ресурсов для минимизации рисков ИБ.
4️⃣ Обнаружение (Detect) – обнаружение и анализ событий ИБ.
5️⃣ Реагирование (Respond) – управление инцидентами ИБ.
6️⃣ Восстановление (Recover) – восстановление нормальной работы после инцидента.
При внедрении фреймворка следует учитывать следующее:
1️⃣ Адаптация рекомендаций
Стандарт рекомендует расставлять приоритеты в области обеспечения ИБ для принятия обоснованных решений о расходах на ИБ и действиях по внедрению стандарта.
2️⃣ Интеграция с другими системами
Для создания единой экосистемы безопасности важно обеспечить совместимость с другими фреймворками и стандартами, используемыми в компании, например, ISO 2700X, CIS Controls.
3️⃣ Автоматизация процессов
Внедрение инструментов автоматизации способствует повышению эффективности многих процессов обеспечения ИБ, например, повышение осведомленности, управление уязвимостями, реагирование на инциденты.
NIST Cybersecurity Framework (CSF) 2.0 является хорошей методической базой для построения ИБ в компании, однако следует помнить, что стандарт не содержит подробное описание шагов для достижения целевого состояния ИБ. Для эффективного ИБ в компании требуется комплексный подход: необходимо грамотное распределение ресурсов, компетентные специалисты, актуальные меры и средства защиты, а также постоянство обеспечения ИБ.
#ИБ
CSF 2.0 представляет собой описание целевого состояния ИБ в организации и может быть использован компаниями любых размеров и направлений деятельности ввиду гибкости внедрения представленных рекомендаций.
Фреймворк состоит из 6 ключевых разделов:
При внедрении фреймворка следует учитывать следующее:
Стандарт рекомендует расставлять приоритеты в области обеспечения ИБ для принятия обоснованных решений о расходах на ИБ и действиях по внедрению стандарта.
Для создания единой экосистемы безопасности важно обеспечить совместимость с другими фреймворками и стандартами, используемыми в компании, например, ISO 2700X, CIS Controls.
Внедрение инструментов автоматизации способствует повышению эффективности многих процессов обеспечения ИБ, например, повышение осведомленности, управление уязвимостями, реагирование на инциденты.
NIST Cybersecurity Framework (CSF) 2.0 является хорошей методической базой для построения ИБ в компании, однако следует помнить, что стандарт не содержит подробное описание шагов для достижения целевого состояния ИБ. Для эффективного ИБ в компании требуется комплексный подход: необходимо грамотное распределение ресурсов, компетентные специалисты, актуальные меры и средства защиты, а также постоянство обеспечения ИБ.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
В новой версии «The NIST Cybersecurity Framework» (далее – CSF) предложены инструменты для ускорения внедрения стандарта и уделено больше внимания вопросам корпоративного управления.
Новая версия лишилась приписки «Framework for Improving Critical Infrastructure Cybersecurity» в своем названии, что указывает на более широкую область применения фреймворка, чем у прошлой редакции.
Обновленный документ дополнен разделом «Руководство» (Governance), направленным на вовлечение высшего руководства и совета директоров организаций в процессы по управлению рисками кибербезопасности.
Процессы, предусмотренные в рамках прежних пяти разделов, о которых мы говорили ранее, были доработаны и упрощены, что помогает облегчить внедрение документа и его понимание лицами, не обеспечивающими кибербезопасность.
Документ также расширяет результаты управления рисками цепочки поставок и включает большинство из них в функции управления.
CSF теперь содержит примеры реализации, информационные ссылки на справочные материалы и краткие руководства, которые доступны онлайн и регулярно обновляются. Также разработана серия руководств «quick-start guides» для упрощения старта внедрения CSF.
Чтобы помочь организациям в сравнении текущего и целевого состояний обеспечения уровня кибербезопасности, NIST предоставляет шаблон профиля организации в виде таблицы.
Более подробно изучить изменения между CSF 1.1 и CSF 2.0 можно в таблице.
#ИБ
#ПолезноЗнать
Новая версия лишилась приписки «Framework for Improving Critical Infrastructure Cybersecurity» в своем названии, что указывает на более широкую область применения фреймворка, чем у прошлой редакции.
Обновленный документ дополнен разделом «Руководство» (Governance), направленным на вовлечение высшего руководства и совета директоров организаций в процессы по управлению рисками кибербезопасности.
Процессы, предусмотренные в рамках прежних пяти разделов, о которых мы говорили ранее, были доработаны и упрощены, что помогает облегчить внедрение документа и его понимание лицами, не обеспечивающими кибербезопасность.
Документ также расширяет результаты управления рисками цепочки поставок и включает большинство из них в функции управления.
CSF теперь содержит примеры реализации, информационные ссылки на справочные материалы и краткие руководства, которые доступны онлайн и регулярно обновляются. Также разработана серия руководств «quick-start guides» для упрощения старта внедрения CSF.
Чтобы помочь организациям в сравнении текущего и целевого состояний обеспечения уровня кибербезопасности, NIST предоставляет шаблон профиля организации в виде таблицы.
Более подробно изучить изменения между CSF 1.1 и CSF 2.0 можно в таблице.
#ИБ
#ПолезноЗнать
Вопрос:
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?
Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.
Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:
1️⃣ Провести анализ цепочки поставок и определить риски
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.
2️⃣ Провести проверку всех участников цепочки поставок
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.
3️⃣ Ограничить доступы
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.
4️⃣ Провести обучение
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.
5️⃣ Проводить мониторинг активности
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.
6️⃣ Регулярно перепроверять поставщиков
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.
7️⃣ Разработать планы и процедуры на случай инцидента
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.
#ИБ
#ПолезноЗнать
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?
Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.
Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM